发布日期：2002-04-25
更新日期：2002-04-29

受影响系统：

Acme thttpd 2.20b

描述：

---

BUGTRAQ  ID: 4601
CVE(CAN) ID: CVE-2002-0733

thttpd是一款由ACME工作室维护的WEB服务程序，可使用在BSD、Solaris、Linux操作系统下。

thttpd对用户提交的URL请求数据缺少正确充分的检查，可导致攻击者进行跨站脚本执行攻击。

当thttpd产生错误页面信息时，没有正确检查提供在URL的脚本代码，可导致攻击者在提交的URL中插入恶意脚本代码，当其他用户查看此链接的时候，恶意脚本代码可以thttpd站点上下文在用户浏览器中执行，导致用户基于Cookie认证的信息泄露给攻击者。

此漏洞在2.20b版本上测试成功，其他版本也可能存在此问题。

<*来源：frog frog （leseulfrog@hotmail.com）
  
  链接：http://www.ifrance.com/kitetoua/tuto/5holes1.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 关闭浏览器的javascript功能。

厂商补丁：

Acme
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.acme.com/software/thttpd/

浏览次数：2858
严重程度：0（网友投票）